VEZS 2018-08-06

Fach: Verlässliche Echtzeitsysteme ECTS: 5 Prüfer: Peter Ulbrich Beisitzer: Florian Schmaus

Angenehme Atmosphäre. Stift und Papier liegen bereit. Ablauf sehr ähnlich zu dem in den älteren Protokollen beschriebenem.

Was ist ein Fehler?

• Die Nichterfüllung von festgelegten Forderungen (Spezifikation vs. Implementierung)

Wie kann man diese kategorisieren?

• Viele verschiedene Moeglichkeiten z.B. nach Art:
• permanente Fehler: Sind permanent; können erst durch eine korrigierende Maßnahme behoben werden
• sporadische Fehler: unregelmäßiges Auftreten, häufig gebuendelt, oft Vorboten permanenter Fehler
• transiente Fehler: unregelmäßiges Auftreten, durch äußere Einwirkung ausgelöst, münden aber meistens nicht in einen permanenten Fehler

Fehlerkette?

• Defekt - innerer Fehler - Sichtbarkeit des Fehlers
• Implikationen
• gutartiger Defekt
• Software vs. Hardwarefehler

Robuster Systementwurf?

• Gefahrenanalyse, Risikobeurteilung, Fehlerbaumanalyse

Fehlerbaumanalyse?

• Komponente/Pfade finden die zu Systemversagen fuehren
• Wurzel = Fehlverhalten, ausgehend davon Ursachen identifizieren
• Schnitt: atomare Ereignisse, die Schadensereignis verursachen
• Minimalschnitt: kritische atomare Ereignisse, die zu Systemversagen fuehren
• Minimalpfade: Gegenteil Schnitt –> atomare Ereignisse, die das Schadensereignis verhindern

Redundanz?

• Strukturelle Redundanz: Komponenten gleichartig auslegen
• Funktionelle Redundanz: Komponenten verschiedenartig auslegen (unterschiedliche Herleitung)
• Informationsredundanz: Einbringen zusaetzlicher Informationen
• zeitliche Redundanz: Schlupfzeit

Vor-/Nachteile der verschiedenen Arten von Redundanz?

• Strukturell: + Verlaesslich, - teuer, - Gleichtaktfehler
• Funktionell: + Gleichtaktfehler durch Diversitaet vermeiden, - sehr aufwaendig, - Anwendungsspezifisch durch Akzeptanztest
• Informations-: + Fehlererkennung, - Berechnungen teuer, - noch keine Fehlertoleranz

Akzeptanztest vs. Relativtest:

• Ist-Soll-Test vs. Ist-Ist-Test
• Akzeptanztest kann auch Vektor von Eingabewerten entgegennehmen

TMR zeichnen + erklaeren:

• Replikdeterminismus (mit Voraussetzungen), Fehlerisolation (zeitl. + raeuml. Isolation, geringe Kopplung)
• Kritische Bruchstellen vs. Replikationsbereich
• Einigung ueber Eingangswerte: Stellvertreter, Mehrmaliges Auslesen/Replikation, Akzeptanzmaskierer

Akzeptanztest vs. Relativtest:

• Ist-Soll-Test vs. Ist-Ist-Test
• Akzeptanztest kann auch Vektor von Eingabewerten entgegennehmen

Wie TMR mehr haerten?

• Codierung von Replikator, Ausgangsvoter, Sensoren und Aktoren
• Sensoren, Aktoren auch mehrfach auslegen (Bsp. Fluss)

Mit TMR Haertung gegen transiente Fehler, wie andere Fehler Vermeiden?

• Testen
• formale Verifikation

Testen Vor-/Nachteile

• + guenstig, schnell
• - schafft nur Vertrauen nicht Sicherheit, kombinatorische Explosion

Effektivität von Tests messen?

• Untere Schranke Anzahl Testfaelle MCC
• Testueberdeckung (Anweisungs-, Zweig-, Pfad-, Bedingungsueberdeckung) inkl. kurzer Erklaerung Vor-/Nachteile)

Statische Analyse?

• Beweis der Korrektheit
• konkrete Semantik
• abstrakte Semantik
• Code wird nicht ausgefuert nur interpretiert

Eigenschaften der abstrakten Semantik?

• Vollstaendig, Korrekt
• Praezise
• Geringe Komplexitaet
• alles inkl. Skizze

Beispiel abstrakter Semantik?

• Intervallabstraktion (mit Skizze)

Was macht Astree?

• Intervallabstraktion: liefert keine Werte, nur Wertebereich fuer Variablen
• Korrektheit im Sinne des C-Standarts
• Funktionale Verifikation moeglich, aber unvollstaendig

Wie funktionale Eigenschaften nachweisen?

• Vor-/Nachbedingungen, Beweis fuehren
• Hoare Kalkuel: Wenn Vorbedingung gilt, gilt nach Anweisung, Nachbedingung
• WP Kalkuel: Genau umgekehrt, wenn Nachbedingung gilt was ist die schwaechste Vorbedingung, die vor Anweisung gegolten haben muss

Was gibt es ausser Vor- und Nachbedingungen noch?

• Schleifeninvarianten: Muessen vor Waehrend und nach Schleife gelten (Bsp. Maximumsfunktion)

Haben die Konzepte Nachteile?

• Vor-/Nachbedingungen muessen per Hand angegeben werden